21:04
5/5/2013

Tuż przed długim weekendem informowaliśmy Was o kilkunastu domenach należących do jednej i tej samej firmy i wykorzystywanych do m.in. wyłudzania danych osobowych na Facebooku poprzez publikowanie wiadomości z chwytliwymi, szokującymi tytułami. W trakcie majówki ujawniła się kolejna farma spamujących na Facebooku serwisów/domen.

twojemiastofb.pl

Kolejny po 188.165.194.226 serwer, który jest wykorzystywany do hostowania “szokujących materiałów” to 94.23.246.181 — znajdują się na nim następujące domeny:

    twojemiastofb.pl
    krec.pl
    niepraktyczna.pl
    nieuzyteczna.pl
    bangolo.pl
    hiciorki.pl
    wiedzaniepotrzebna.pl
    moherki.pl
    wwooww.pl
    viksy.pl
    wow-wow.pl
    pixlol.pl
    heheha.pl
    superasne.pl
    h-a-h-a.pl
    skrat24.com
    babiniec.pl
    phi-phi.pl
    ha-ha.pl
    hi-hi.pl
    lol-wow.pl
    lol-mega.pl

Pod większością powyższych domen hostowany jest ten sam CMS ze “śmiesznymi” obrazkami, których nie możemy zobaczyć w całości, bo przysłania je ramka z napisem “kliknij tutaj“.

Pod linkiem “kliknij tutaj” kryje się przekierowanie na Facebooka, gdzie aplikacje scammera (występująca pod różnymi nazwami, np. “codziennie dawka humoru” lub “potwierdź pełnoletność”) proszą o dostęp do naszych danych oraz uprawnień (m.in. pisania w naszym imieniu na Facebooku).

twojemiastofb.pl

Scam twojemiastofb.pl

Po nieopatrznym wyrażeniu zgody, aplikacja publikuje na profilu “ofiary” następujący wpis:

twojemiastofb.pl facebook

Facebookowy scam: twojemiastofb.pl dodaje następujący wpis na naszej tablicy

Próba odtworzenia filmiku kończy się przekierowaniem na jeden z fanpage’y (najprawdopodobniej należący do spamera):

twojemiastofb.pl facebook

Scam na Facebooku – twojemiastofb.pl przekierowuje na jeden z fanpage’y

Aktualizacja 23:54
Napisał do nas właściciel Fanpage “Lubie dziewczyny”:

Chciałbym oznajmić że nie mam żadnych powiązań z tymi spamerami, nie kupowałem likeów ani nic.Ostatnio właśnie tj.3 maja zauważyłem nagły wzrost polubień

Obecnie filmik po kliknięciu na “play” przekierowuje na naszego Facebooka — dziękujemy osobie stojącej za spamem za to przekierowanie (sinkholing nigdy nie był tak prosty!), dzięki temu mamy wgląd w realne statystyki tego procederu — jutro rano opublikujemy “o ile nam wzrosło” i jaka jest efektywność takiego Facebookowego spamu :-)

Jak duże jest to zjawisko?

Jeśli ufać statystykom among.us, to całkiem spore:

Liczba osób odwiedzających stronę scammera

Liczba osób odwiedzających stronę scammera

Co gorsza, jak informuje nas jeden z czytelników, Adi, na tego typu ataki nabierają się (chcemy wierzyć, że nie było to umyślne działanie) także administratorzy popularnych w Polsce fanpage’y na Facebooku — przykładem jest należaca do agencji G7 Media “Nie ogarniam” (430 000 fanów), której administrator przyspamował swoich fanów wyłudzającym dane linkiem:

nie ogarniam

“nie ogarniam” dało się nabrać

Kto stoi za tą spamerską kampanią i jaki jest jej cel?

Celem spamu tym razem (przynajmniej na obecną chwilę) nie jest wyłudzanie numerów telefonów i zapisywanie użytkowników do płatnych usłuch typu Premium SMS. Wszystko wskazuje na to, że właściciel spamerskiej farmy domen po prostu nabija ruch (“lajki”) na kilku fanpage’ach (być może należących do niego, a być może do kogoś, kto zleca mu zdobywanie “lajków”).

W przypadku jednej z domen osadzonych na spamerskim sperwerze nie ukryto danych w WHOIS. Wskazują one, że właścicielem jednej z domen jest:

Dane jednej ze scammerskich domen

Dane właściciela jednej ze domen, które hostują spamerskie aplikacje

Jak się ustrzec niechcianych wiadomości na swoim profilu na Facebooku?

Przede wszystkim należy uważnie czytać, jakiej aplikacje i do czego dajemy dostęp. Każda z aplikacji pyta użytkownika o zgodę na przetwarzanie wybranych danych oraz ewentualną możliwość publikowania wpisów na facebookowej tablicy.

Wszystkie aplikacje, którym daliśmy dostęp do naszego konta możemy zobaczyć w opcjach Facebooka (wystarczy kliknąć na ustawienia konta -> aplikacje lub kliknąć tutaj.

Ustawienia aplikacji na Facebooku

Ustawienia aplikacji na Facebooku

Jeśli widzicie jakąś aplikację, z której już nie korzystacie albo taką, której nazwa nic Wam nie mówi — usuńcie ją lub zabierzcie jej uprawnienia.

Przeczytaj także:

47 komentarzy

Dodaj komentarz
  1. Admin “nie ogarniam” po prostu nie “ogarnia” zasad bezpiecznego korzystania z komputera.

  2. Admin “nie ogarniam” dobrze wszystko ogarnia, i zgarnął niezły hajs za tą reklamę mając w dupie bezpieczeństwo danych osobowych swoich fanów. ~Ekspert

    • Może G7 wypowie się na ten temat?

  3. Powoli im się nazwy kończą.
    Oczywiście dodaję te adresy, do blokowanych witryn, bo moja siostra uwielbia we wszystko klikać…

    • Blokujesz w hosts?

      Czy coś specjalnego :) ?

    • Nie jestem specjalistą od zabezpieczeń, ale włączyłem podwójne blokowanie stron XD
      Ustawiłem opcję na routerze w zakładce “blokowanie stron”, oraz w pakiecie zabezpieczającym, tak więc po kliknięciu w ktoryś z tych linków, wyskakuje informacja, o tym, że ta strona zostala zablokowana przez zaporę ogniową

  4. Przecież napisałem o tej domenie już pod poprzednim wpisem a wy dopiero teraz o tym???

  5. Co ciekawe, zauważyłem z informacji od znajomych że o rzekomym wypadku informuje serwis twojemiastofb.pl w ten sposób że pobiera miejsce zamieszkania i generuje tytuł “Miejsce Zamieszkania: Tragiczny wypadek dwie osoby nie żyją, 2013-05-05″ co sugerowało że wypadek odbył się w miejscu zamieszkania. Dzięki temu więcej osób się dało nabrać…

    • confirmed – same here..

  6. Akcje tego gościa nie kończą się tylko na zdobywaniu lajków. Niektóre z wpisów zawierały przekierowania na fejkową stronę logowania na FB gdzie zostały przechwytywane loginy i hasła na następnie przejmowane fan page z kont, które “się nabrały”.

  7. sprawdźcie też motofrik.pl
    Wolę w to nie wchodzić i podejrzewam że też to jest strona tego typu

  8. Zauważyłem, że właściciel serwera (prawdopodobnie pan Andrzej) zablokował dostęp do podanych wyżej serwisów. Czyżby czytelnik niebezpiecznik’a ;) ?

  9. Nie szkoda mi głupich ludzi ani trochę.

    • Przyjmij do wiadomości, że z FB korzystają sześciolatki i siedemdziesięciolatki.
      Sześciolatek jest naiwny z natury swojego wieku a siedemdziesięciolatek zazwyczaj nieświadomy samego zagrożenia. Nie nazywaj ludzi głupimi, bo jako użytkownik jesteś zaznajomiony z regułami dyktowanymi przez złośliwych skurczybyków funkcjonujących w internecie. Wejdź w nieznane sobie doskonale środowisko i zobaczymy jak swobodnie będziesz pływał. Pomyśl, ile razy przy kasie nowego marketu dowiedziałeś się, że towar najpierw należy zważyć? Albo że kolejka jest wspólna dla wszystkich kas? Albo stojąc przy pieczywie pytałeś gdzie są regały z bułkami? Albo jeżdząc po nowym mieście samochodem przypadkowo złamałeś w ferworze walki oczywisty przepis? Dla setek tysięcy ludzi, internet jest tak nowy jak dla Ciebie pierwszy dzień w nowym zawodzie. Trzeba walczyć ze złośnikami a nie wyzywać ludzi od idiotów.

  10. Piszecie że celem nie jest premium…hmm właśnie że już jest. Po kliku przekierowuje do fake odtwarzacza Youtube i gdy klikniemy play wyskakuje info że ich serwery są przeciążone i trzeba potwierdzić numer telefonu aby przeprowadzić weryfikację antyspamową. Z kolei drobnym druczkiem zlewającym się kolorem pisze: Serwis Fortune Cookie jest usługą subskrypcyjną prowadzoną przez Mobile Dialogue. Po wprowadzeniu na stronę numeru telefonu użytkownik otrzymuje PIN. Poprzez wprowadzenie na stronę numeru PIN, użytkownik potwierdza zaakceptowanie Regulaminu Serwisu. Subskrybenci serwisu co 3 dni otrzymują ponadczasowe motto lub nową wróżbę. Po otrzymaniu 40 wróżb subskrybent ma prawo do otrzymania bonusu w postaci doładowania telefonu w dowolnej sieci o wartości 25 lub 30 PLN. Koszt usługi subskrypcyjnej to 4,92PLN/ 3 dni z VAT. Jednorazowa opłata aktywacyjna dla abonentów sieci Orange oraz T-Mobile to 4,92PLN z VAT. Dezaktywacji subskrypcji można dokonać w dowolnym momencie poprzez wysłanie bezpłatnego SMS o treści STOP FC pod numer 60433. Regulamin serwisu znajduje się tutaj. Pytania prosimy kierować do obsługi technicznej na email: support@chinskieciasteczko.com
    Oświadczam, że jestem właścicielem numeru telefonu komórkowego, który został wprowadzeny na stronę landingową serwisu w celu skorzystania z usługii Mobile Dialogue Sp. z o.o. (Warszawa, Aleja Niepodległości 18). Wyrażam zgodę na otrzymywanie informacji handlowych od Mobile Dialogue Sp. z o.o. oraz od jej partnerów, na numer telefonu komórkowego udostępniony w związku z udziałem w serwisach Mobile Dialogue Sp. z o.o.

  11. teraz po kliknięciu na play button w “filmie” dodanym przez twojemiastofb.pl jest przekierowanie na fanpage niebezpiecznika.
    Może to niebezpiecznik stoi za tymi wszystkimi akcjami i nabija sobie fanów? :D

  12. lub “kliknąć tutaj”
    raczej niechętnie będą klikać a na pewno sprawdzają co to za link ;)

  13. Panowie, “scammer” piszemy przez dwa “em”.

  14. Dane w bazie WHOIS to tez sciema. nie trzeba zaciemniac ;)

  15. A ja mam inną propozycję, również skuteczną :)

    http://i.imgur.com/OURPqWq.jpg

  16. Dziękuję za dokładne wytłumaczenie przyczyn bałaganu, z którym spotykam się na codzień na Facebooku…

    “Jeśli widzicie jakąś aplikację, z której już nie korzystacie albo taką, której nazwa nic Wam nie mówi — usuńcie ją lub zabierzcie jej uprawnienia.”

    Gdyby tylko moi znajomi to potrafili… Na nic prośby, groźby i inne próby wymuszania na nich blokowania takich śmieci – im nie przeszkadza 50 postów tego typu dziennie, mi natomiast tak. Mało tego, mimo systematycznego ukrywania wpisów od (blablabla).pl, po paru dniach znowu mam “nowości” z tych samych stron w Aktualnościach…

    Niestety, chyba nie ma opcji do odgórnego blokowania pokazywania zawartości ze wszystkich aplikacji (lub ja jej jeszcze nie znalazłem). Ja z aplikacji nie korzystam (no może oprócz Androidowego wspomacza synchronizacji kontaktów) ale niektórzy korzystają z nich aż zanadto…

  17. jak was wkurzaja znajomi to mozecie chyba wylaczy powiadomienia z takich aplikacji ale nie jestem pewien

  18. “Nie ogarniam” jest spamerskim fp, który zbiera “lajkerów” i ciśnie na swojej głównej właśnie tego typu linkami, poprzez BOTa, żeby zasyfić resztę ciekawskich.Domeny nabijają liczbę odsłon (nieświadomych) po czym ta zostaje sprzedana za grubą kasę jako “często odwiedzana”, więc widoczna w sieci.Zapewne część sieki wpada już za ilość wyświetlonych reklam.Ja takich “nieświadomych” od razu raportuję.

  19. admin-contact: P-ALB2396
    admin-fname: Andrzej
    admin-lname: Baz
    admin-street: Hoffmana 19
    admin-city: Krasiczyn
    admin-zip: 16-036
    admin-country: PL
    admin-phone: +04.81789345678
    admin-email: andrzej83.83@o2.pl

    • Lipne dane. Nieistniejący kod pocztowy z podlaskiego a Krasiczyn leży koło Przemyśla. Numer telefonu też za długi o jedną cyfrę.

    • Numer niekoniecznie musi mieć złą długość. To jest zagraniczny numer, a nie ma na to żadnej międzynarodowej normy. W wielu państwach numery na obszarze danego kraju różnią się długością.

    • Z tym, że… nie ma numerów zaczynających się na +0. http://pl.wikisource.org/wiki/Mi%C4%99dzynarodowe_kody_telefoniczne

  20. Spore spore bo z mojej skromnej listy ok 150 znajomych musiałem w długi weekend ok 10 upomnieć bo pojawiłi sie Ania i Piotrek na ich tablicy:]

  21. AVE…
    A ja mam proste rozwiązanie: nie używać FB czy innych takich rzeczy. A skoro nie można się bez tego obejść, to blokować idiotów, co się na te scamy nabierają, by konto nie było zaspamowane. Jeśli bowiem ktoś się na to nabiera, to jest idiotą, a z idiotą nie warto się przyjaźnić, nawet na FB…

  22. http://twojemiastofb.pl/ chyba zostało shakowane :F

  23. Ludzie zakładający konta na tego typu portalach nie grzeszą inteligencją, więc skala nie robi wrażenia ;p

  24. a jak ktos nie ma konta na enkeju i fejsie, to moze sie smiac?

  25. tracert -h 100 94.23.246.181

  26. Zawsze jakikolwiek syf* “Only Me”.

    Nie są to wyżej wymienione strony, czasami zdarzają się też i normalne – jak widzę dziwną domenę – ukrywam post znajomego z uwzględnieniem blokowania wiadomości z tej domeny w przyszłości.

  27. @Cycu i o to chodzi!!! Jeśli ktoś serwuje jakąś “usługę” to jego dane mogą iść po prostu w świat, bez strachu. A wystarczy, że ten ktoś serwuje taką samą usługę i wygląda na oszusta, to od razu jego nazwisko jest w magiczny sposób chronione.

  28. Oni wyłudzają też nr komórek/ lub smsy premium.

  29. twojemiastofb.pl – > Hacked
    Brawo!

  30. idiots everywhere

  31. wywalcie facebooka i po problemie

  32. Jesli mam być szczery to widziałęm ten wpis o tragicznej
    śmierci 2 osob na tablicy conajmniej 3 osób i to zanim o tym
    napisaliscie – myslalem wtedy, ze to nic wielkiego. Tak czy inaczej
    – naiwność ludzka nie zna granic

  33. “Przede wszystkim należy uważnie czytać, jakiej aplikacje i do czego dajemy dostęp. ”
    Tutaj wkradł się mały błąd :)

  34. A dzisiaj od nowa ;) info-miasta24.pl i znowu Ania i Piotr :P

  35. Znowu jest tego wysyp.

  36. Ja takim do komentarza wtedy daję:
    http://iv.pl/images/83882138569118533988.jpg

  37. […] atakami stoi ta sama grupa, której spamerskie domeny namierzyliśmy najpierw w kwietniu, a potem w maju tego […]

  38. http://twojemiastofb.pl/ – wkrótce nowa odsłona :D

  39. […] Uwaga na kolejny scam na Facebooku: twojemiastofb.pl, czyli “Ania i Piotrek na zawsze w naszyc… […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: